Doxware, una variante del ransomware o del extortionware

Doxware, ¿es una evolución, una variante de malware, una nueva tendencia, o sólo un nuevo nombre? –porque nos gustan los nombres nuevos, sobre todo para lo que resulte amenazante[1].

Según la RAE, secuestrar es “Retener indebidamente a una persona para exigir dinero por su rescate, o para otros fines”; extorsión es “Presión que se ejerce sobre alguien mediante amenazas para obligarlo a actuar de determinada manera y obtener así dinero u otro beneficio”.

Ransomware suele instalarse en un sistema a través de un archivo adjunto de correo electrónico malicioso [usualmente de modalidad phishing], una descarga de software infectado y / o visitando un sitio o enlace malicioso. Cuando el sistema (independiente de la víctima) está infectado con ransomware, se bloquea, se cifran los archivos del usuario o se restringe el acceso del usuario a las funciones clave del equipo[2]. No se necesita mover datos, sólo cifrarlos[3]. Para evitar ataques, no sólo de ransomware, asegúrese de que todos los sistemas y software estén actualizados, proteja su red con tantas capas de seguridad como su presupuesto lo permita, cifre los datos sensibles, trate de no poner todos los huevos en la misma canasta, prevenga, eduque. El Grupo Smartekh nos ofrece un análisis gratuito de riesgo por ransomware.

Haciendo un poco de historia, la palabra doxxing; doxxing o doxing es un derivado de la palabra “docs” [“documentos” en idioma inglés]; el término es una versión abreviada de “dropping dox”, un método de venganza (algo así como dejar datos de alguien en el baño) que se remonta a la cultura hacker (y no tan hacker) de principios de los años 90[4].

Cuando doxxing y ransomware se combinan, esta combinación letal se conoce como Doxware[5]. Doxware entonces es el término usado para la técnica de acoso de encontrar, [secuestrar, extraer] y luego publicar información personal sensible de un usuario, incluyendo direcciones, números de teléfono e incluso números de Seguro Social[6].

Doxware normalmente escanea los archivos buscando frases clave que indican que son comunicación privilegiada, confidenciales o privados; así, el alcance de los archivos que doxware tiene como objetivo es menor que el ransomware ordinario, que se dirige a los discos duros completos[7].

Más preocupante es que los ciber delincuentes pueden tener acceso permanente a los datos personales y pueden exigir un rescate más de una vez. Incluso si se cede al chantaje, no hay ninguna garantía de que los archivos que han exfiltrado se eliminarán (apareció el extortionware). Los ataques basados en extorsión probablemente no aumentarán para el público en general, pero puede ser preocupante para los objetivos de alto valor, conocidos por tener datos valiosos. Con doxware el ataque es más personal, más selectivo, busca los blancos más atractivos, los que rindan más beneficios, los que maximicen el ROI. Es más, doxware puede exponer a las víctimas a acoso y humillación, pero también puede dejarlas vulnerables al robo de identidad[8].

El shadow IT, las redes sociales, el autoservicio de TI, hummmm. De hecho, preocupa a más de uno.

Confiamos en que evitamos la pérdida de los datos con los respaldos que realizamos, y en que recuperamos los servicios desde ahí, pero, en adición al tiempo y esfuerzo relacionados con el retorno real a la operación (dependiendo de la plataforma tecnológica desplegada, las capacidades existentes, y el tamaño del recurso comprometido), y del costo total de propiedad inherente, ¿qué fue de la pérdida de privacidad de los datos, no sólo por en dónde estaban sino, además, de quién son? ¿qué hay de un usufructo no alcanzado u oportunidades perdidas? ¿qué hay de los datos que son publicados y/o de posibles acciones legales por exposición no autorizada? ¿qué hay de la confianza perdida?, entre muchas otras interrogantes.

Recordemos, la ignorancia no es una defensa y el anonimato percibido no es un escape[9].

[1]       Fuente: http://searchdatacenter.techtarget.com/es/cronica/Doxware-Nueva-amenaza-de-ransomware-o-solo-extortionware-renombrado; disponible en marzo/2017

[2]       Fuente: https://www.techopedia.com/definition/4337/ransomware; disponible en marzo/2017

[3]       Fuente: http://www.networkworld.com/article/3174678/security/the-latest-ransomware-threat-doxware.html; disponible en marzo/2017

[4]       Fuente: http://computer.howstuffworks.com/what-is-doxxing.htm; disponible en marzo/2017

[5]       Fuente: https://www.topsec.com/it-security-news-and-info/what-is-doxware-ransomware; disponible en marzo/2017

[6]       Fuente; https://www.merriam-webster.com/dictionary/dox; disponible en marzo/2017

[7]       Fuente: https://www.techopedia.com/definition/32411/doxware; disponible en marzo/2017

[8]       Fuente: https://www.quora.com/What-is-Doxware-Malware; disponible en marzo/2017

[9]       Fuente: http://www.independent.co.uk/life-style/gadgets-and-tech/news/online-abuse-internet-sexting-doxxing-trolling-new-legal-guidelines-crime-prosecution-service-a7353536.html; disponible en marzo/2017

Internet de las cosas -IoT

Según Gartner, el “Internet de las cosas (IoT) es la red de objetos físicos que contienen tecnología incorporada para comunicarse y detectar o interactuar con sus estados internos o con el entorno externo”[1]; y añade que “el valor real del Internet de las cosas va más allá de los dispositivos interconectados”[2][3].

La interacción crea más datos (más complejidad en su tratamiento, más aplicaciones, mejores y más seguras que los traten, mayor necesidad de almacenamiento y procesamiento); la comunicación acarrea más riesgos que deben ser apropiadamente gobernados, una necesidad de mayor y mejor gestión de servicios (decisiones de toda índole más difíciles, para usuarios y operadores); las condiciones actuales y posibilidades futuras requieren recursos y capacidades diferenciados para asegurar que se mantiene el valor de los servicios (que promulga ITIL®) que entregamos –la sostenibilidad operativa.

Todos estamos involucrados y somos responsables del buen o mal uso que hagamos del IoT, en todo nivel. Además, debemos considerar que hay muchas cosas que considerar[4]: capacitación, público objetivo, requisitos de construcción, servicios incorporados, dispositivos (tipos, compromiso de seguridad, manipulación no autorizada[5], otros), disponibilidad, aplicaciones, redes, conectividad, plataforma tecnológica, ecosistema, riesgos directos e indirectos, actualizaciones de firmware o de software, aplicaciones que incorporen la seguridad desde el diseño, la arquitectura de las aplicaciones a este respecto, cifrado de datos, protección de datos personales, categorización de datos, datos sensibles en general, control de acceso, normativas, regulaciones, estándares, metadatos de los dispositivos, sistemas de monitorización y de protección contra intrusiones y ataques, tanto a nivel individual como colectivo[6], monitoreo continuo, localización de los datos porque lo que es delito informático en un país puede no serlo en otro, resiliencia[7], confidencialidad, integridad y disponibilidad, entre muchas otras posibilidades.

IoT no es una cosa; es la integración de varias cosas en una solución de negocio, es el corazón del negocio digital –bueno, cuando ya no sea una buzzword y realmente se de una transformación digital y contemos con tecnología concreta utilizable hasta en nuestros hogares[8] y por todos (refrigeradoras que podrán avisar a sus dueños cuando no haya alimento en ellos[9] es la promesa ¿recuerdan?). Sería bueno saber cuántos y cuáles dispositivos están accediendo a nuestra red local, y algo ‘raro’ como deshabilitar el bluetooth y las funciones que los dispositivos no usan todo el tiempo[10]. No queremos que “alguien” nos haga “gastar” más electricidad de lo habitual. Ya conocemos las deficiencias de seguridad existentes, que no nos pesquen desprevenidos, por ellas al menos[11].

[1]       Fuente: http://www.gartner.com/it-glossary/internet-of-things/; disponible en marzo/2017

[2]       Fuente: http://www.gartner.com/technology/research/internet-of-things/?s=1; disponible en marzo/2017

[3]       Fuente: http://view.ceros.com/gartner/iot/p/1; disponible en marzo/2017

[4]       Fuente: https://ricveal.com/blog/10-retos-seguridad-iot/; disponible en marzo/2017

[5]       Fuente: http://aunclicdelastic.blogthinkbig.com/el-reto-de-la-seguridad-en-iot/; disponible en marzo/2017

[6]       Fuente: http://www.csuc.cat/es/internet-of-things-un-reto-para-la-seguridad; disponible en marzo/2017

[7]       Fuente: http://www.ibm.com/developerworks/ssa/library/iot-trs-secure-iot-solutions1/index.html; disponible en marzo/2017

[8]       Fuente: http://techcetera.co/el-reto-para-la-seguridad-para-el-internet-de-las-cosas/; disponible en marzo/2017

[9]       Fuente: http://www.nacion.com/tecnologia/informatica/Seguridad-principal-reto-Internet-Cosas_0_1571442852.html; disponible en marzo/2017

[10]     Fuente: http://techcetera.co/tiene-el-internet-de-las-cosas-iot-algun-riesgo-para-su-hogar/; disponible en marzo/2017

[11]     Fuente: http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/insecurity-in-the-internet-of-things.pdf; disponible en marzo/2017

Algo sobre ciberseguridad

Cierto, la ciberseguridad nos preocupa[1] y por ello debemos ocuparnos en entender nuestros propios ambientes de operación y por controlar las puertas y ventanas abiertas en el plano digital de nuestro ecosistema, identificar los riesgos y determinar el verdadero impacto que un incidente podría tener para nuestro negocio.

¿Sería bueno esforzarnos en realizar un FODA de nuestra seguridad de la información? No sólo situacional sino, además, estratégico. ¿Mantenemos actualizados nuestros activos de información? ¿Qué dejamos de proteger y por qué? ¿Qué nos falta por hacer o mejorar? ¿Qué recursos y capacidades están involucrados, han sido desplegados y han sido comprometidos en los servicios que entregamos[2]? ¿Existen limitaciones o restricciones, cuáles y por cuánto tiempo lo serán? ¿Hemos implementado algún tipo de ‘ciber’ defensa como los antiguos honey pot ¿los recuerdan?, con la finalidad de conocer el comportamiento de algún atacante dentro de nuestra plataforma tecnológica así como las técnicas que podría utilizar? ¿Es mejor invertir en herramientas de seguridad, o en la construcción de sistemas –no sólo de información- con un menor número de vulnerabilidades? ¿Cuáles herramientas, cuáles sistemas? ¿Empezamos?, ¿con qué empezamos? ¿Hemos desarrollado algún cronograma para realizar las evaluaciones? ¿Qué hay de las acciones de monitoreo y control? ¿Cuáles son los sistemas críticos para la operación de la empresa, de su día a día? ¿Qué servicios de TI que ya gestionamos o estamos todavía diseñando son los primeros que debemos considerar en nuestra evaluación de su seguridad de la información? ¿Cuáles serán los criterios de aseguramiento de calidad y de control de calidad que estableceremos para esa evaluación? ¿Consideramos la mejora continua en todos los casos? ¿Cómo han sido personalizados y configurados estos servicios cuya información debe permanecer segura? ¿Estamos gestionando los cambios a los servicios que podrían afectar la seguridad del ecosistema actual? ¿Estamos gestionando las configuraciones de los servicios en cuanto a la seguridad de la información? Humm.

No nos es extraño que cuanta mayor y mejor tecnología exista, más elaborados son los ataques y en mayor cantidad, y que no precisamente son realizados por gurús. Además, cada vez es más complicado y toma tiempo identificar el punto de entrada y el número de registros o dispositivos que se han visto comprometidos. Seguramente ya pasamos por el mantra de: conocer dónde se encuentran los datos, sobre todo los identificados, catalogados y tratados como sensibles –sin olvidar cómo, dónde y con qué se procesan o transmiten (no olvidemos a dónde y de qué manera); monitorizar el ciclo de vida de los datos; otorgar permisos según la política consabida de necesidad de conocer, gestionando identidades y autorizaciones según corresponda –recordemos el concepto IAM[3]; protegernos del malware; utilizar apropiadamente (adoptar y adaptar) el concepto BYOD; utilizando las capacidades integradas de los dispositivos móviles; aislando y ocultando dispositivos terminales según sea necesario o prudente; educación, interminable, constante, continua, actualizada, personalizada, activa y de calidad, entre otros atributos; concientizar; comunicar; entender para prevenir, descuidos y comportamientos de los usuarios con relación a la seguridad de la información.

Entonces, entendiendo nuestra organización, qué se debe proteger, y los riesgos que enfrenta, debemos enfocar lo mejor posible nuestros esfuerzos en cuanto a gestionar el riesgo a fin de motivar la adopción de una postura acorde con el grado de exposición y lo crítico de una situación porque sabemos que existen muchas variables a considerar de forma responsable, entre otras, las operativas, humanas, funcionales y tecnológicas. No olvidemos que los riesgos permanecen en cambio constante, más con el grado actual de globalización el cual incrementa el entorno de las amenazas modernas alterando –por decirlo gentilmente, y si está vigente, cualquier plan de respuesta a incidentes.

Es decir, debe existir una estrategia de seguridad exhaustiva con objetivos de seguridad y medidas alineadas con las estrategias empresariales y metas, donde la seguridad sea una prioridad en la mente de todos y sujeta a una evaluación y reevaluación continua, con alternativas de análisis de datos de calidad que ayuden a proteger información confidencial –para que funcionen realmente opciones como DLP y SIEM, y que podamos determinar cuáles posturas de seguridad que se han adoptado han sido las más efectivas.

[1]      Fuente: http://docs.media.bitpipe.com/io_13x/io_131511/item_1334211/HB_Consejos%20de%20ciberseguridad%20para%20las%20empresas%20de%20hoy_final.pdf; disponible en julio/2016

[2]      Fuente: http://learn.alienvault.com/5-security-controls-or-an-effective-soc/home; disponible en julio/2016

[3]      Fuente: http://www.itnews.com/article/3088084/security/gartner-s-top-10-security-predictions.html?token=%23tk.ITN_nlt_ITnews_Daily_2016-06-24&idg_eid=0f3e0907b81179ebb4f3b209b6424bae&utm_source=Sailthru&utm_medium=email&utm_campaign=ITnews%20Daily%202016-06-24&utm_term=ITnews_Daily; disponible en julio/2016

Curso: Comunicación de datos y redes

Introducción

Dictado en la Universidad Telesup -UPT, Lima – Perú, en los ciclos 2008-2 (noviembre/2008), 2009-1 (marzo/2009), 2010-0 (enero/2010), 2010-1 (marzo/2010), 2011-1 (marzo/2011).

Sumilla

Introduce al estudiante en los conceptos y elementos fundamentales de la comunicación de datos y lo capacita en el empleo de diversas tecnologías que lo ayudarán a diseñar con éxito una red de comunicaciones.

Continue reading